基本上我的问题是,如果我有一个数字字符串,并且我要将它与数据库进行比较,那么这是一种安全/安全的检查方法。或者我应该只是逃避我的数字变量以及我的字符串(就像我已经做过的那样)?
示例:
<?php
$id = $_POST['id'];
if(is_numeric($id)){
//database connectivity.
}
?>
答案 0 :(得分:0)
“数据库”很通用,所以我假设你正在使用MySQL。它是安全的,只要你将$id
插入到查询中就会被转义(使用mysql_real_escape_string
或最好是预备语句)。
答案 1 :(得分:0)
“从表中选择Id ='”。 (int)$ _ POST ['id']。“'”